Der Faktor Mensch. Ist teure Sicherheitssoftware ohne Betrachtung des Benutzers (Layer 8) nutzlos?



Ähnliche Dokumente
Der Faktor Mensch Ist teure Sicherheitssoftware wirkungslos durch soziale Netzwerke?

Der Faktor Mensch. Ist teure Sicherheitssoftware wirkungslos durch soziale Netzwerke?

Layer 8 oder: Faktor Mensch

Der Faktor Mensch. Ist teure Sicherheitssoftware ohne Betrachtung von Layer 8 nutzlos!? Tim Hoffmann IT-Trends Sicherheit

Twitter, Facebook, Xing & Co. Mehr Wert oder mehr Gefahr?!

Twitter, Facebook, Xing & Co. Mehr Wert oder mehr Gefahr für Ihr Unternehmen?

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

15 Social-Media-Richtlinien für Unternehmen!

Pflegende Angehörige Online Ihre Plattform im Internet

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Nicht über uns ohne uns

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

osborneclarke.de Social Media, Mobile Devices und BYOD arbeitsrechtlich ein Spagat zwischen Können Dürfen Wollen

Missverständnisse, Fehlinterpretationen im Datenschutz bergen Risiken. Tim Hoffmann IT-Trends Sicherheit Bochum

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Business Page auf Facebook

Klinikinformationssysteme Balance zwischen Datenschutz, Usability und Patientensicherheit

ANYWHERE Zugriff von externen Arbeitsplätzen

Social Media Guidelines. Miriam Nanzka, Hohenzollern SIEBEN

POP -Konto auf iphone mit ios 6 einrichten

Wenn keine Verbindung zwischen den Computern besteht, dann bist du offline.

OutLook 2003 Konfiguration

I Serverkalender in Thunderbird einrichten

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

- Datenschutz im Unternehmen -

Statuten in leichter Sprache

Anleitung auf SEITE 2

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Leichte-Sprache-Bilder

Kinder im Internet. und Chatten. Dipl.-Ing., CISSP, GCIH Feb. 2008

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Staatskanzlei des Kantons Zürich. Kommunikationsabteilung des Regierungsrates

Alle gehören dazu. Vorwort

4Brain IT-Netzwerke IT-Sicherheit

IT-Trend-Befragung Xing Community IT Connection

Dezentrale Verschlüsselung. Lumension Device Control Version 4.4

Step by Step VPN unter Windows Server von Christian Bartl

Web Interface für Anwender

Social Media Monitoring Was wird über Sie und Ihre Wettbewerber gesagt?

Die Industrie- und Handelskammer arbeitet dafür, dass Menschen überall mit machen können

Ideen für die Zukunft haben.

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Anleitung auf SEITE 2

1 Was ist das Mediencenter?

Betriebliche Gestaltungsfelder

Symantec Mobile Computing

Stadt radio Orange Dein Fenster auf Orange 94.0

Netz- und Informationssicherheit in Unternehmen 2011

Sicherheit im IT Umfeld

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Einrichtung eines VPN-Zugangs

Der kleine große Unterschied

ROFIN App Benutzerhandbuch. Version 1.0

Der schnelle Weg zu Ihrer eigenen App

Vorderthal, 15. April Liebe Eltern,

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Itworks. N e t z w e r k e We know how.

Kurzanleitung BKB-E-Banking-Stick

CTI SYSTEMS S.A. CTI SYSTEMS S.A. 12, op der Sang. Fax: +352/ L Lentzweiler. G.D.

Download unter:

Das Leitbild vom Verein WIR

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

Sind Sie (sich) sicher?

WinVetpro im Betriebsmodus Laptop

Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November

Trainingsplan 21-wöchiger Trainingsplan für einen Langdistanz-Schwimm- Wettkampf

Keep updating. Wie oft pro Woche sind Sie im Internet? Es ist wichtig, dass Sie Ihre Daten überall im Alltag schützen, beruflich wie privat.

Herzlich Willkommen! Vorwort

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Informationen als Leistung

Was ist Leichte Sprache?

Hallo! Social Media in der praktischen Anwendung Warum macht man was und vor allem: wie? Osnabrück, den 07. Juli 2014.

Die Post hat eine Umfrage gemacht

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

Social Media Marketing

Kundenleitfaden zur Sicheren per WebMail

Umgang mit Social Media

IT-Sicherheit Awareness Nur ein Schlagwort?

Sichere Kommunikation mit Ihrer Sparkasse

Der Empfänger, der das Verschlüsselungsverfahren noch nicht nutzen kann, erhält folgende

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Die Wirtschaftskrise aus Sicht der Kinder

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten

Was meinen die Leute eigentlich mit: Grexit?

COMPUTER MULTIMEDIA SERVICE

Übung - Arbeiten mit Android

Was sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an!

Transkript:

Der Faktor Mensch Ist teure Sicherheitssoftware ohne Betrachtung des Benutzers (Layer 8) nutzlos? Manfred Beth IT-Tag Saar 2015 15.10.2015 Saarbrücker Messegelände Referent Manfred Beth (Dipl.-Betriebswirt, gepr. Datenschutzbeauftragter) Geschäftsstellenleiter Saarbrücken Diplom-Arbeit: Datenschutz und Datensicherheit bei fortschreitender Technik Seit 2010 als Berater bei der Beratung verschiedener sozialer Einrichtungen, Industriebetrieben, Energieversorgern usw. 2 1

Unternehmensgruppe 3 Dienstleistungen der UIMC 4 2

5 Ursachen von Schäden Schäden mit mittlerer und größerer Bedeutung: 8% Sabotage (inkl. DoS) 9% Manipulation zum Zweck der Bereicherung 10% Informationsdiebstahl / unbefugte Kenntnisnahme 10% höhere Gewalt 26% Software-Mängel/-Defekte 30% Mitarbeiter-Irrtum und Nachlässigkeit 31% Malware (Viren, Würmer, Trojaner etc.) Haupteinfalls-Tor: E-Mail, Download, USB-Sticks Quelle: KES-Studie 2014 6 3

Es menschelt in der IT KES Studie : 77 % (KMU) Vertraulichkeitsbrüche durch die eigenen Mitarbeiter verschuldet. Menschlicher Irrtum, wie z. B.:» Fahrlässige Zerstörung oder Verlust von Geräten oder Daten» Nichtbeachtung von IT-Sicherheitsmaßnahmen» Gefährdung durch Reinigungs- oder Fremdpersonal» Fehlerhafte Administration des IT-Systems» Konfigurations- und Bedienungsfehler» Ungeeigneter Umgang mit Passwörtern Technik kann nie 100%ige Sicherheit erreichen es kommt auch immer auf denjenigen an, der sie bedient! 7 Das OSI-Modell Open Systems Interconnection Model Layer 8 Layer 7 Layer 6 Layer 5 Layer 4 Layer 3 Layer 2 Layer 1 Schicht zwischen Monitor und Stuhllehne Anwendungsschicht Darstellungsschicht Sitzungsschicht Transportschicht Vermittlungsschicht Sicherungsschicht Bitübertragungsschicht 8 4

Problemfelder Behinderung der Verbesserung der Lage 68% 64% 59% Bewusstsein der Mitarbeiter 58% 49% 57% Geld 53% 56% 47% Bewusstsein der Geschäftsleitung 27% 25% 27% mangelnde Umsetzung v. Konzepten 18% 16% 13% Fehlende Produkte 2014 2012 2010 Quelle: KES-Studie 2014 9 Was passiert in den Betrieben so? Was passiert denn so in den Betrieben? 10 5

Schöne Welt der IT-Trends Mobilität» auch im ICE produktiv sein» selbst im Café erreichbar Work-Life-Balance» Bring Your Own Device» Home Office Networking» schnelle Kommunikation im Web 2.0» Informationsbeschaffung über soziale Netzwerke, Foren usw. 11 Ein Freund, ein guter Freund, das ist das Beste, was es gibt auf der Welt 12 6

Nutzungsformen im Unternehmen Nutzer Aktive Nutzung durch Unternehmen ( Passive ) Nutzung durch Mitarbeiter Art Facebook- Fanpage und -Like- Button Twitter- Kanal Recruiting während der Arbeitszeit in der Freizeit Risiko Datenschutz, Reputation, Social Engineering, Informationsabfluss, (Un-)Kontrollierbarkeit Zeitfresser, Reputation, Informationsabfluss 13 Unvorsichtigkeit als Risiko Arbeitsrechtliche Probleme» Von der Kaffeeküche in die Welt-Öffentlichkeit» Stichwort arbeitsvertragliche Nebenpflichten Alte Gefahren in neuem Gewand» (Social) Phishing, Malware, Trojaner, Passwort-Diebstahl» Fehlender Vertraulichkeitsschutz (wer liest mit?) (vermeintliche) Freunde» Gezielte Informationsbeschaffung über soziale Netzwerke» Soziale Netzwerke als Ausgangspunkt für weiteres Social Engineering» Verifikation der Identität des Freunds oft kaum möglich (Die Facebook-Soldatin kann auch zur Wirtschaftspionage eingesetzt werden) 14 7

Menschliche Schwächen Öffentliche Diskussionen» gefühlte Verpflichtung der Kommunikation» sich wichtig machen mit großem Forum» Vorteil als Nachteil: Mitarbeiter sind kritischer als Kunden» Interna werden öffentlich diskutiert ( statt in Kaffeeküche ) Wettbewerber, Headhunter oder Kunden als Empfänger!? Fehlendes Bewusstsein für Verantwortung? Fotos vom Arbeitsplatz mit ungewollten Begleit- Informationen Apps: noch schneller und Zugriff auf das Adressbuch 15 Exkurs: mobile Nutzung / Apps Umfangreiche und z. T. undurchsichtige Rechte» von Apps und» bei Smartphone-Betriebssystemen (ios, Android, Windows Phone etc.) Verfolgung des Aufenthaltsorts (intransparenter) Datentransfer von Inhalten usw.» nicht genehmigtes Outsourcing Abgleich von Adressbüchern mit sozialen Netzwerken Bei Verlust der Hardware auch Zugriff auf soziale Netzwerke 16 8

Teure Sicherheitstechnik Sicherheitsmaßnahmen Elektronisches Schließsystem Besucherausweise Berechtigungsverfahren Passworte Virensoftware VPN- und Container- Verschlüsselung Warnhinweise DLP-Systeme Menschliche Schwächen Trägheit Überforderung Unverständnis Unkenntnis Freundlichkeit Profilierungssucht Mögliche Konsequenz? 17 Superman braucht keinen Gurt! (Muhammed Ali zur Flugbegleiterin) 18 9

Superman braucht auch kein Flugzeug! (Die Antwort der Flugbegleiterin) 19 Traurig, aber wahr...» Ja klar! Wir haben eine Pflichtentrennung bei der Rechtebeantragung: Der Mitarbeiter beantragt und ich pflege dies in die Active Directory ein. (Administrator eines QM-zertifizierten Mittelständlers)» Natürlich haben wir eine Alarmanlage! Wenn jemand eine Scheibe einwirft, dann werden die Nachbarn das schon melden! (EDV-Leitung einer Sparkasse)» Bei uns werden alle Berechtigungen zeitlich begrenzt vergeben! [beachte: Ablaufdatum laut AD: 31.12.2099] (EDV-Leitung einer größeren Universitätsklinik) 20 10

Stufen der Kompetenz Buschmann Unbewusste Inkompetenz Fahrschüler Bewusste Inkompetenz Probezeit Bewusste Kompetenz Routinier Unbewusste Kompetenz 21 Was tun? Verlassen Sie sich nicht auf Ihre Technik! Erstellen klarer Regelungen (DOs and DONTs) Bilden Sie Ihre Mitarbeiter fort (Schulungen) Sensibilisieren Sie Ihre Mitarbeiter Darstellung der Bedeutung der Regeln Transparenz im Hinblick auf mögliche Gefahren Sicherheit ist kein Projekt! Sondern ein Prozess! Leben Sie die Informationssicherheit (dies bedeutet auch, dass Sie kontrollieren müssen!) 22 11

Informationssicherheit und Datenschutz ist? eine Aufgabe der IT-Abteilung ein Wunsch der Geschäftsführung wichtig für den Erhalt des Unternehmens eine Aufgabe für alle! 23 Informationssicherheit ist? eine Aufgabe der IT-Abteilung ein Wunsch der Geschäftsführung Führungskräfte wichtig für den Erhalt sind oft wie Zitronenfalter eine Aufgabe für uns alle! des Unternehmens denn die falten auch keine Zitronen! 24 12

Fragen?? Fragen? Diskussion?? consultants[at]uimc.de (0202) 265 74-0 25 Vielen Dank! UIMC DR. VOSSBEIN GMBH & CO. KG Nützenberger Straße 119 42115 Wuppertal Altenkesseler Str. 17 (InnovationsCampus Saar) 66115 Saarbrücken Telefon: (0202) 265 74-0 Telefax: (0202) 265 74 19 E-Mail: consultants@uimc.de Internet: www.uimc.de akkreditiert durch: UIMCert GmbH Moltkestraße 19 42115 Wuppertal Telefon: (0202) 3 09 87 39 Telefax: (0202) 3 09 87 49 E-Mail: certification@uimcert.de Internet: www.uimcert.de 26 13

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback